[Çözüldü] Firewall önerisi ve berqnet

https://www.cozumpark.com/community/network-4/firewall-proxy-secimi/

Forumda benzer sualler ve tecrübeler bulabilirsiniz.
Cozumpark gibi prof. kurumsalın yoğun olduğu ortamlarda marka özelinde bu tip bahislere girmemek istememenin bazı haklı sebepleri var. Reklam oluşmaması gerekli ve mesela ayrıntı bilinmediği taktirde olumsuz bildirimler de haksız durumlara yol açma ihtimali var. Arkadaşlarımız biraz da bundan geri duruyor yada giriş seviyesi ürünlerde pek fazla güncel deneyim bulunamayabiliyor. Örneği ürün sınıflarında genellikle segmentlerine göre markaları sıralayabiliyoruz. Üzerine firma ve kişilerin PoC yaparak kendi beklentilerine göre değerlendirmesi daha doğru bir yol oluyor.
Konu özelinde Berqnet giriş-orta alt seviyede utm alternatifi coslat gibi başka bir alternatifi de var. Portal da makalesi var başka ürün makaleleri de var.
Yakın ölçekte birebir deneyimim yok ancak support noktasında pek iyi şeyler duymadım bu tabi markanın genel durumunu belirlemez onu belirteyim.:) Bir de pfsense benzeri kendiniz uğraşarak yapılandırabileceğiniz alternatifler var coslat benzeri ürünler pfsense üzerine kurulu doğal olarak bazı avantaj support gibi ve dezavantajları olabiliyor. Akabinde daha yüksek maliyette Sophos XG ürünlerine bakabilirsiniz ondan sonra da bunların kendisine alternatif olmayan Fortigate gibi markalar geliyor.:)

Hesap yönteminiz model seçiminde user adet bazlı olursa temel olarak doğru. Marka da throughput bazlı oluyorsa eksik olabilir daha ayrıntılı analiz gerekebilir.
Model ölçeği, ortamda ne kadar birim miktar sayılıyorsa/ihtiyaç varsa bunun üzerinde seçmek doğru olandır her zaman için. Bu tip ürünlerde min. %30 üzerine ekleyerek seçmek yerinde olabilir.

Final de imkan varsa demo talep etmeniz bir süre kullanmanız daha iyi olacaktır.

İbrahim hocam merhaba forumda uzun süredir takipçinizim konuya sizin yorum yazmanız ayrıca mutlu etti beni 🙂 pfsense düşündüm ancak ofisin elektrik altyapısını henüz düzenleyemedik elektrik git gel durumunda ani çökme olabilir bu durumdan dolayı bir tedirginlik oluşturdu bende ayrıca araştırdığım kadarıyla standart gigabit ethernetler ile lan/wan tarafında sorun yaşayanlar olmuş pfsense'de bunun haricinde

sophos ile görüşme yaptık xg-125 ürününü önerdiler ve max 60 kullanıcı desteklediğini söylediler bu durum ile ilgili sizin görüşleriniz ne olur gönül ister ki fortigate olsun ama bütçe meselesi 🙂 berqnet tarafında eğer alırsak bile 100 den aşağı almayacağım o konuda kesin karar kıldım

saygılarımla.

Merhaba,

Bütçe yüzünden ürünü alıp sonra kafayı taşa vurmaktan ise baştan bir kez iyi bir ürün almakta yarar var.

Fortigate ile ciddi olarak ilgilenmeniz bence akılcıl olacaktır.

Ürünü maddi olarak almak bir dert ancak sonrasında sistemin sağlıklı çalışması daha önemli bir dert.

Kaliteli bir ürün almazsanız bile bunun doğuracağı sorunların altını çizerseniz ilerisi için başınız ağrımaz.

@sehmustunc pfSense kısmında ek olarak sorun yaşayanların çoğundaki senaryo aynı, ethernet kartı chipset linux driver desteğinden habersiz.

FreeBSD linux üzerine kurulu olduğundan ethernet kartı driver kaynaklı sorunları oluyor. Hatırladığım kadarıyla realtek chipsetler daha sağlıklı çalışıyor. Bu sebepten pfSense kuracağınız makinede ethernet kartların chipset seçimine dikkat etmeniz gerekiyor.

Mevcutta Realtek usb/pci ethernet kartlarımı hangi linux sistemine taktıysam çalışıyor driver sorunu olmuyor FreeBSD tarafında da sorun çıkarmıyor. 

Arkadaş bende bunu anlamıyorum, 100E yani pek çok kobi için yeterli bir cihaz kabaca 1500 200 dolar, bu gün yılda 15.000TL firewall a veremeyen bir firma bence kapatsın dükkanı gitsin.

Diğer görüşlere katılmakla beraber bana atıf yapılan kısma cevap vereyim.
Eh ups, jeneratör yoksa server ne olacak kesintide... 🙂 Buradan firmanızın bütçe seviyesini anlayabiliyoruz. Var böyle firmalar yapacak bir şey yok. Olasılıklar sizin anlatabileceklerinize ve yaşatabileceklerinize bağlı. Mesela benim şöyle bir tutumum vardır 1 bela x nasihat... Kaşınana kurulur pfsense gibi amatörce birşey verilir patlaması sağlanır ve akabinde bütçe çıkartılır gereken alınır.:)
Tabi bazen ransomware'deki gibi acısı, harcamasını geçer. 🙂
Her zaman diyoruz desktop pc, board'ların %90'ıyla server, nas, vhost, firewall vs olmaz. Seçmek tartmak gerekir o da deneyim ister, sınama ister. Kati olmaz değil yani.
Bu da benzer piyasa onboard ethernetleriyle server, pfsense olmaz. En azından insanlar intel, broadcom chipli biraz pahalı birşeyler alsınlar değil mi ama ondan bile kaçarlar sonra patladı diye yazarlar sağa sola.:) Piyasa ürünlerinin çoğunda realtek bulunur çünkü birim başı $ olarak çok ucuz ancak sihhatli değiller para köfte meselesi. Yoksa stabil wifi dinleme yapabilen realtek de var yani neyi seçtiğiniz önemli. Hazır box şasi veya ucuz utm ürünlerde de realtek bridge bulunmuyor değil ama dediğim gibi seçilmiş, denenmiş ürünler.
Mesela yurt dışından eth port ve bellek ihtiyacınıza göre utm boş şasi alarakta pfsense, endian vs kurup ihtiyaç karşılayabilirsiniz onun da makalesi var.:) Görece desktop pc'lerden daha sihhatli olacaktır ancak eski sunucu'lardan daha fonksiyonel olmaz. 
Bununla uğraşacağınıza zaten hazır yerel de support'u olan coslat ürün var. Orada pfsense'in kaabiliyet sınırları dışında kısıtlama gibi dezavantajların yanında, 5651, filtering gibi avantajlarda var. 
Misalen bir Lenovo kurumsal pc üzerinde intel 4 port kartla 5 yıla yakın zamandır çalıştırdığım pfsense de var. Seçim ve sonuçları meselesi yani.
Global free ürünleri adapte, revize eden yereldekilerin dışında Sophos gibi global ölçekliler başlıyor. Eh tabi ki maliyeti fazla olacak ne bekliyoruz ki.:) XG aldık bitti gibi düşünüyor bazıları ama öyle değil o iş.
Fortigate gibi ispatlıların bazı işleri ayrı lisanslar altında yapmasına buradan değinmek bence yersiz. Ona göre de sihhat, kalite sonuçları var. Para zamanın karşılığı...
Velhasıl imkan görece bol, seç beğen al, cezasına da katlan.:)

@ibrahimyildiz

Hocam durum bildiğiniz gibi değil 🙂 ilk başladığımda berbat durumdaydı şu gördüğünüz yere kadar ciddi yol kat ettik diyebilirim daha önceden file server,db server falan hiçbişey yoktu usb bellekler ile clientlar dosya paylaşıyordu bu şekilde client client'a virüs taşıyordu:)

mysql kullanan bir programları vardı client makina hem server hem client vazifesi görüyordu 

5 ay içerisinde serverları ayırdık güvenlik ürünleri kurulumu yaptım clientların hepsini elden geçirdim

file serverda dosya uzantıları,cryptolocker,yetkilendirme ayarları yaptım 

programın db serverını ayırdım düzenli backup ayarladım hem ayrı bir diske alınıyor hem buluta aktarım yapılıyor.

yapısal kablolama yaptım kabin,patch panel,switch aldırdım network haritasını çıkardım analog telefon regletlerini düzenlettim

jeneratör var otomatik değil 🙂 şimdi kalan otomatik jeneratör+ups+firewall ve güzel bir nas ünitesi hocam diyeceksin ki neden bunları baştan yapmadın be kardeşim en başından bu zamana kadar uyardım anlattım ama daha yeni hazır olduklarını söylediler. Firmalar o kadar değişik çalışıyor ki data hırsızlığı, siber saldırı gibi durumları hiç düşünmüyorlar eğer personel çalışıyorsa word,excel'i kullandığı ofis içi programı açılıyorsa iş tamam düşüncesiyle hareket ediyorlar...

pfsense tarafına gelince gönlümden geçen 2.el bir sunucu yada workstation alıp intel gigabit ethernetler ile konfigüre etmekti ama maliyet bu durumda yükseliyor biraz daha fazla verip normal bir firewall cihazı almalarının daha sağlıklı olduğunu düşündüm 

ben durumu kendilerine anlatacağım ceza kısımları onlara kalacak 🙂 artık ya sefasını sürecekler ya da cefasını 

herşey için çok teşekkür ederim iyi ki varsınız

sağlıklı günler dilerim.

@hakanuzuner

Hocam haklısınız ama teknolojinin tam içimizde olduğu bir dönemde hala böyle kuruluşlar var maalesef 🙁 

@omeryilmaz öncelikle konuyla alakalı dönüşleriniz için çok teşekkür ederim 

pfsense tarafında 2.el bir sunucu yada workstation alıp intel gigabit ethernetler ile konfigüre etmekti düşüncem ama maliyet bu durumda yükseliyor biraz daha fazla verip normal bir firewall cihazı almalarının daha sağlıklı olduğuna karar verdim.

dediğiniz ortamı evde kendim bizzat deneyeceğim 

O zaman uzak durmak lazım öyle kuruluşlardan ki düştükçe anlasınlar bu konulara yatırım yapmaları gerektiğini.

@hakanuzuner 

Hocam ben dışardan destek hizmeti veriyorum daha önceden bir "bilgisayarcı" bakıyormuş 😉 😀 

yavaş yavaş anlıyorlar dilim döndüğünce anlatıp toparlamaya çalışıyorum ofisi

Gönderen: @sehmustunc

@hakanuzuner 

Hocam ben dışardan destek hizmeti veriyorum daha önceden bir "bilgisayarcı" bakıyormuş 😉 😀 

yavaş yavaş anlıyorlar dilim döndüğünce anlatıp toparlamaya çalışıyorum ofisi

 

Anladım, o zaman kolaylıklar.

Anlıyorum, katılıyorum 🙂 hepimiz oralardan geçtik, geçiyoruz.
Tercihin daha doğru 👍 elde hazır iyi seviye cihaz olmadığı, satın alım yapılması gerekiyor madem hazır box çözüm, sadece bir müşterin olduğu için de support'u olan bir ürün aldırman senin yönetimin ve onlar için daha iyi olacaktır. Bence alternatifli sunabilirsin. Coslat tabana koy, sophos ve fortigate'i de uzun süreli support lisanslarıyla tekliflendir senaryoları kısaca önlerine koy onlar karar versin olsun bitsin.
Kolaylıklar diliyorum.

@hakanuzuner Hocam 3 senedir fortinet 100e kullanıyorum. Lisans yeniliyim dedim ama saçma sapan fiyatlar veriyorlar. Ben lisans yenileyeceğim bana yeni cihaz ve lisans ücreti daha ucuza çıkarıyorlar böyle saçma hocam. Sırf bu yüzden fortinet bırakıp sophos yöneleceğim.  4 bin dolar yazılım yükseltme ücretimi olur . cihazla almaya kaltığımda 3800 $ ücret çıkartıyolar. Gidip pfsense kullanmayacağım tabiki ama alternatiflere yöneleceğim. 🙁

Merhaba Onur bey;

Bence değerlendirmeyi yanlış yapıyorsunuz. Ödediğiniz bedeli fiziksel donanım için ödüyor gibi düşünmemelisiniz. Talep edilen bedel Fortios ve onunla birlikte çalışan global servisler için alınan yazılım ve hizmet bedelidir. Hatta bazı ürünleri için donanım bile almanıza gerek yoktur. Sanallaştırma yapınıza entegre edip çalıştırabilirsiniz. Bu durumda donanım olmayınca fiyatta da sanırım bir miktar indirim oluyor. Bence yeni cihaz ile birlikte daha uygun bir kampanya yakaladıysanız kaçırmayın derim.

İyi çalışmalar.

@SerkanAtes Hocam ben fiziksel donanımı tercih eden biriyim. Benim sorunum şu fortinet bizi yeni cihaz almaya zorluyo bence bir firewall 6 sene kullanılabilir. Ben hem lisans hem donanım aldığım fiyattan daha fazla lisans yenileme ücreti ödemeyi mantıklı bulmuyorum. Ayrıca alternatiflerine sophos bunun yarı fiyatına hem lisans hem yeni cihaz alabilirim. Fortinet bu durumda bize dünyaları sunmuyor açıkçası. İçerisinde security rating için bile aldığımız lisans haricide başka bir lisans almamızıda istiyor. 4 bin dolar 32 bin tl yapıyor ve bunu sadece yenileme ücreti olarak vermek zorundayım ve resmen bizi sıkıştırıyor.

Onur selam, CP veya PaloAlto ya da başak ürünlere bakarsan daha pahalı, sonuçta hepsinin altında yatan bir ar-ge mühendislik ve özellikler var. Eğer senin şirket ihtiyaçlarını berq net görüyor ise ok, ya da sophos, bu nedenle iş ihtiyaçları için en doğru ürünü almak zaten senin görevin bu nedenle seçim ve sorumluluk sende.

Gönderen: @ONUR-TORUN

@SerkanAtes Hocam ben fiziksel donanımı tercih eden biriyim. Benim sorunum şu fortinet bizi yeni cihaz almaya zorluyo bence bir firewall 6 sene kullanılabilir.

O zaman donanım arızasına karşı failover-cluster yapı da planlamalısınız. Bu durumda bütçe ihtiyacı daha da artacaktır.

İyi çalışmalar.